面向业务的应用支撑平台安全管理体系设计与实现毕业论文.doc

分类号：tp311 单位代码：10422 密 级：学 号：0843048008硕 士 学 位 论 文论文题目: 面向业务的应用支撑平台安全管理体系设计与实现design and implementation of the safety-management system on business-oriented application-supporting platform作 者 姓 名 阮 静专 业 软件工程指导教师姓名专业技术职务 李学庆 教授 2009年 10 月 10日原创性声明和关于论文使用授权的说明原 创 性 声 明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名： 日 期： 关于学位论文使用授权的声明本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。(保密论文在解密后应遵守此规定)论文作者签名： 导师签名： 日 期： 山 东 大 学 硕 士 学 位 论 文目 录摘 要iabstractii第 1 章绪论11.1研究背景与意义11.2课题来源与研究目标11.3国内外研究现状21.4本文工作41.5论文组织结构4第 2 章系统需求分析及概要设计52.1需求概述52.2概要设计62.2.1 设计原则82.2.2 主要功能92.3本章小结11第 3 章ip策略的设计与实现123.1设计思路123.1.1 系统级ip策略123.1.2 用户级ip策略143.2ip策略格式说明及判断规则153.3系统实现效果163.3.1 系统级ip策略163.3.2 用户级ip策略173.4本章小结19第 4 章身份验证的设计与实现204.1设计思路204.2ca认证224.2.1 业务系统的登录入口模块设计224.2.2 业务系统的身份认证模块设计234.2.3 数字证书与系统用户映射模块设计264.2.4 实施开发说明264.3ad认证274.3.1 ad数据同步模块设计274.3.2 ad域用户登录方式设计284.4用户名和密码304.4.1 静态模型324.4.2 动态模型324.4.3 系统实现效果334.5单点登陆344.5.1 单点登录应用总体结构图344.5.2 用户数据统一354.5.3 统一认证的技术原理364.5.4 统一认证流程364.5.5 统一认证后，与业务系统对接374.5.6 集中认证服务器端374.5.7 集中认证客户端代理384.6多认证的实现384.6.1 web.xml的配置384.6.2 securitysupport.xml的配置394.7本章小结44第 5 章权限管理设计与实现455.1设计思路455.2逻辑视图465.3功能资源权限475.4数据权限485.5系统实现515.6本章小结53第 6 章系统审计设计与实现546.1设计思路546.2主要数据结构及类设计576.3系统实现596.4本章小结60第 7 章结束语617.1本文总结617.2未来工作61参考文献63致 谢65 contentschinese abstractienglish abstractiichapter 1 introduction11.1development background11.2source and aim11.3the latest state of technology21.4the main work of this paper41.5the structure of this paper4chapter 2 requirement analysis and preliminary design52.1requirement52.2preliminary design62.2.1 design principle82.2.2 main function92.3sum up of this chapter11chapter 3 design and implementation of ip strategy123.1design123.1.1 ip strategy of system123.1.2 ip strategy of user143.2ip strategy format and judgement rule153.3realization163.3.1 ip strategy of system163.3.2 ip strategy of user173.4sum up of this chapter19chapter 4 design and implementation of authentication204.1design204.2ca authentication224.2.1 design of systems entry224.2.2 design of systems authentication234.2.3 design of digital certificates and users mapping264.2.4 explain of implement264.3ad authentication274.3.1 design of ad data synchro274.3.2 design of users entry in ad284.4user and password304.4.1 static model324.4.2 dynamic model324.4.3 realization334.5single sing on344.5.1 configuration344.5.2 unify users data354.5.3 authentication principle364.5.4 authentication process364.5.5 meeting with system374.5.6 server of central authentication374.5.7 client agent of central authentication384.6realization of multiple authentication384.6.1 config of web.xml384.6.2 config of securitysupport.xml394.7sum up of this chapter44chapter 5 design and implementation of rights management455.1design455.2logical view465.3function authorization475.4data authorization485.5realization515.6sum up of this chapter53chapter 6 design and implementation of system audit546.1design546.2main data structure and class design576.3realization596.4sum up of this chapter60chapter 7tag617.1conclusion617.2work of future61referrence63acknowledgement65山 东 大 学 硕 士 学 位 论 文摘 要随着社会信息化的发展，很多单位采用应用系统作为管理手段，作为近几年信息化建设的产物，面向业务的应用支撑平台越来越以其“以业务导向和驱动的、可快速构建应用软件”的特色受到行业用户的广泛关注。面向业务的应用支撑平台通常为使用者提供了通信、事务监控、应用集成、数据集成、流程管理等服务，同用户的管理及业务相关度比较大，是管理软件开发的通用基础平台。其中安全管理体系等的授权访问控制、认证、监控功能决定了能否对系统资源进行准确、有效访问，是面向业务的应用支撑平台的关键所在，也是信息安全领域一个热点问题。目前应用系统在用户管理、数据访问权限的控制等方面还存在一些问题，访问控制除了在用户请求时拦截无权的资源访问请求以外，还要在界面屏蔽用户无权访问的资源项，实现“所见即所得”。国内的很多行业、单位都有进一步进行数据权限控制的需求，数据权限控制尽管与安全相关，但本质上是业务逻辑问题，如何能够有效的对资源进行访问，涉及到单位的信息安全保障、业务正常开展、信息上传下达等各方面，在应用系统中对单位业务能否正常开展的影响举足轻重。尤其是面对多套系统如何进行统一平台管理时，这些问题更加突出。在面向业务的应用支撑平台中对安全管理体系的授权、认证、监控等关键技术研究可以解决上述问题。本文基于j2ee体系和mvc架构，对面向业务的应用支撑平台中的安全管理体系等方面进行研究，设计了较通用的组织权限模型管理模式，通过参考rbac（role-based access control角色访问控制）模型进行访问控制，并且通过传统的用户名和密码、ca、ad、ldap等多种方式进行身份验证，同时还支持扩展。本文研发的业务服务平台能够实现对用户访问的统一管理、能够对各类操作权限设置和组织机构设置紧密配合，来实现业务分工以及业务权限管理。可以对组织、机构、岗位、人员进行一般性的权限配置，还可以实现权限分层管理以及权限继承等复杂功能。关键词： 安全管理体系；权限管理；授权；身份验证；监控abstractwith the development of social information, many units use applications as a management tool, as the information construction in recent years, the product of business-oriented application support platform for more and more of their business-oriented and driven, can quickly build applications by the industry, the characteristics of the users attention. business-oriented application support platform typically provides the user with communication, transaction monitoring, application integration, data integration, process management services, with user management and business-related degree of relatively large, is to manage the software development platform for a common basis. which safety management system such as access control, authorization, authentication, monitoring function determines whether the system resources, accurate, and effective visit is business-oriented application support platform, the key is also the field of information security a hot issue. application system is currently in the user management, data access control, etc. there are still some problems, access control, in addition to intercept user requests the resource access request right away, but also shield the user in the interface do not have access to resources, items, to achieve “wysiwyg.” many of the domestic industry, the unit has a further demand for data access control, data access control, despite the security-related, but the problem is essentially a business logic, how can effective access to the resources, involving the units of information security, business normal operation, transmit messages and other areas of information in the application system, whether the normal operation of the unit business major impact. especially in the face several sets of system, how to carry out a unified platform management, these problems become more prominent. in the business-oriented application support platform on the safety management system, authorization, certification, monitoring and other key technologies can solve this problem.based on j2ee system and the mvc framework, business-oriented application support platform in the security management system in areas such as research, design a more general model of organizational competence management model, by reference to rbac (role-based access control role based access control) model for access control, and through the traditional user name and password, ca, ad, ldap, etc. a variety of ways to authenticate, and also supports expansion.this r & d service platform enables unified management of the user can access various types of operations to set up and work closely with organizations set up to achieve the division of labor and business rights management business. can be organizations, institutions, positions, personnel access general configuration can also be layered to achieve access management as well as sophisticated features such as inheritance rights. keywords：security; rights management; authorization; authentication; monitoring 67山 东 大 学 硕 士 学 位 论 文第 1 章 绪论1.1 研究背景与意义在信息化建设中，应用系统必定含有一套组织机构、权限管理的系统，能够完成单位部门、岗位等组织机构设置以及人员的维护，并且针对角色、权限进行管理，以实现系统用户对应用系统访问时具有同实际业务相符的操作范围。组织权限管理系统随着应用系统的日趋复杂，其安全性也显得格外重要，成了一个成熟应用的根本象征，是否具有完善的访问控制机制、是否能够充分有效的判断用户身份，也成为组织权限管理系统的一个热点问题，信息安全管理已成为政府和企业管理越来越关键的一部分。据计算机安全相关机构调查，系统因安全问题产生不合理访问造成的损失，有55%是来自内部非法访问造成的，而内部滥用权限访问所造成的损失高达97%，可见内部非法访问是无法依靠防火墙技术有效解决的，必须依靠强有力的访问控制技术以及身份验证技术。信息化涉及到国家政治、经济、军事、安全的要害领域，国家自倡导自主创新以来，国产软件的自主创新对国家大型企业、重要单位的信息安全具有重要的意义。信息安全首先是基础软件的安全，在操作系统掌握于他人的情况下，面向业务的应用支撑平台的为应用系统的安全提供了最可靠的保证。如何研制一套通用的安全管理体系，来保证应用系统能够验证访问者是否是本系统的合法用户，以及采取何种策略及技术手段进行访问控制，已成为众多应用支撑平台开发商共同关注的关键技术。1.2 课题来源与研究目标本课题主要来源于山东省信息产业发展专项资金项目“浪潮业务基础平台（loushang平台）研发及产业化项目”。本课题主要完成浪潮软件核心产品“浪潮楼上平台”中的安全管理模块。“浪潮楼上平台”属于面向业务的应用支撑平台，位于中间件产品和应用系统中间，作为应用系统的底层通用架构，包含有基础的底层框架、界面web组件、安全管理模块、业务流程管理、模型驱动开发工具等。安全管理模块主要负责应用支撑平台及应用系统的用户管理、权限管理、单点登陆、认证集成、系统监控等工作，由于应用系统以及应用支撑平台自带的通用模块均面向业务，所以安全管理模块承担起了保障系统操作安全的重任。因此，安全管理模块需要设计一套切实有效的管理方案来满足用户在应用系统对资源的安全访问。本课题的研究拟实现以下目标：按照对业务系统访问的顺序，从外向内，依次施行访问控制手段及身份验证方法。可用通过ip策略，实现从个体用户到系统整体用户的多层次访问控制；其次，采用口令和证书相结合的认证方式进行登陆身份验证；再次，根据角色所赋权限进行访问控制，最后利用系统审计作为防抵赖的手段，从而形成一套完备的安全管理体系。作者作为主要成员参与项目，此项目的研发工作给作者提供了丰富的实践经验，为本文的研究提供了实践支持和实际应用。1.3 国内外研究现状近年来，面对日益严峻的信息安全形势，各国政府围绕如何应对“网络恐怖袭击”，如何减少本国信息基础设施的脆弱性，已着手建立和完善自己的信息安全体制，加强本国信息基础设施的安全保障工作。1美国是世界信息技术革命的发源地和信息化水平最高的国家，但也是世界上受信息战攻击最多、信息安全发案率最多的国家。美国十分重视计算机信息系统的保密和安全，将信息系统与网络安全视为21世纪的主要安全挑战。美国是信息安全方面法案最多而且较为完善的国家，如信息自由法、电子通信隐私法、计算机安全法、电讯法等。苏联解体后，俄罗斯将信息战列为仅次于核战争的重要位置强调在保持核潜力的同时，广泛开发信息战手段，时时处处以信息安全危机来鞭策，督促各单位把信息保密工作做得更好。从法令、机构人员、资金、技术、管理角度全方位给信息安全检查工作予以支持和保障。自上世纪90年代以来，信息产业一直是日本发展最快的产业部门。日本把防范高技术犯罪和开发信息安全技术作为一个优先解决地课题。2000年信息技术战略本部及信息安全会议共同拟定出了信息安全指导方针，要求各政府机构必须制定出适合本单位特点的信心安全基本方针，同时要求各单位强化人员管理，制定严密的安全缺陷对策。22006-2020年国家信息化发展战略指出：大力增强国家信息安全保障能力。积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态，抓紧开展对信息技术产品漏洞、后门的发现研究，掌握核心安全技术，提高关键设备装备能力，促进我国信息安全技术和产业的自主发展。在我国信息化过程中，仍存在许多尚未解决的缺陷和脆弱环节，主要表现在：对信息安全的认识和预防不足，信息安全立法不足。信息安全对国家安全的巨大影响、作用及意义认识不明确。信息安全立法存在许多空白，安全保护的法律体系存在诸多问题。立法偏于概括，规范对象狭窄；法规缺少商务违法犯罪行为处罚等。缺乏统一规划或规划缺乏前瞻性。信息化建设规划与总体规划相脱节，信息安全保障没有方向，各部门没有目标、没有责任、没有压力；信息系统建设管理部门与信息安全部门认识不统一，造成“建设热火朝天，应用冷冷清清”。信息技术水平的发展相对落后，信息资源管理机制不健全，在发生与西方发达国家进行的信息对抗和较量中，处于相对较弱的地位，受到网络信息霸权的威胁。在网络信息的影响下，人们的价值观念和生活方式会发生偏移，对本民族的归属感日益淡化。西方国家借助其强大的信息优势向广大的发展中国家推行文化霸权主义，进行文化渗透和意识形态输出。中国信息安全保障还远远不足以抵御其威胁。信息资源管理人才不足，信息管理教育水平不高，国民信息资源保护意识、保密意识和法制意识不强，导致在应付信息入侵时的无所适从。总之，如果我国信息安全措施仍停留在传统的模式上，信息安全管理活动仍停留在传统方法上，信息安全法制建设仍停留在固有的认识水平上，我国将难以应付迫在眉睫的信息竞争。2目前国内一些企业的业务系统在安全管理方面还比较薄弱，比如系统的操作常只针对界面上的一个菜单（大多是查询请求），对其他具体的操作没有定义，则存在较大安全隐患。能够实际控制到业务系统中每一项具体的访问请求，是访问控制的最终目标，也是权限意义的所在。同时，寻求一种通用方法对授权操作的行为进行监管，控制授权后的信息流失事件，对目前的应用很有现实意义3。1.4 本文工作本文分析了业务系统在信息安全方面的需求，并结合应用支撑平台的理念，在浪潮loushang平台框架基础上，研究和实现访问控制及身份验证等关键技术，形成了面向业务的应用支撑平台的安全管理体系。第一，对业务系统的信息安全需求进行深入研究分析，主要分为实体鉴别、访问控制、防抵赖、加密、完整性等五个方面，并提出了在授权及扩展的应用需求。第二，按照对业务系统访问的顺序，从外向内，依次介绍访问控制手段及身份验证方法。首先在最外层施行ip策略，通过网络地址来源控制访问范围，实现从个体用户到系统整体用户的多层次访问控制。其次，进行身份验证，采用口令和证书相结合的认证方式。再次，用户在操作的过程中，根据所赋权限进行访问控制，控制粒度粗至功能模块细至数据信息，所有权限通过角色与客户相关联。最后利用系统审计作为防抵赖的手段，监督用户状态及对数据信息的相关操作。第三，给出了作为应用支撑平台面向业务系统的扩展接口。第四，给出了以浪潮loushang平台为基础的安全管理体系在上述方面的部分实现。1.5 论文组织结构第1章 阐述应用系统安全管理的意义，提出本文的研究背景、目标及本文的工作。第2章 对应用支撑平台在安全管理方面的需求，并进行概要设计。第3章 针对安全管理体系中的ip策略进行设计和实现。第4章 针对安全管理体系中的多种身份验证进行设计和实现，包括ca认证、用户名密码等。第5章 针对安全管理体系中的权限管理进行设计和实现。第6章 针对安全管理体系中的系统审计进行设计和实现。第7章 对本论文进行总结，并展望下一步研究工作。第 2 章 系统需求分析及概要设计2.1 需求概述根据gb/t 9387.21995（信息处理系统开放系统互连基本参考模型安全体系结构）标准的要求，一个可信的安全管理系统应当提供实体鉴别、访问控制、防抵赖、加密、完整性等五项安全服务。实体鉴别方面能够确保应用系统中的各类数据不被非法访问、窃取、误用、散发等，确保敏感数据处于可控制的范围之内，仅有经过严格身份认证的用户、系统才允许其获得相关数据。访问控制层面能够通过授权控制，实现用户对资源的访问控制，根据用户的岗位或职责不同，即能实现功能上的访问控制，又能实现具体到一条信息数据的访问控制。除了界面展现的要求外，对权限的控制精确到实体粒度，即使用户使用非系统提供入口也无法对保护对象进行访问，信息数据只允许有相应操作权限的用户进行相应的操作，从根本上断绝非法访问的可能。防抵赖要确保应用系统用户认证可靠，相关操作记录具有唯一性，用户身份不被假冒等。完整性：确保系统数据完整、可靠、不被篡改。加密：重要信息采用加密策略，防止信息窃取。方便授权、提供功能强大的审计功能，捕获安全性相关事件记录的操作，作为事后审计、核查的依据，预防和追究非法操作。其他功能需求：1. 统一授权：对组织、机构、岗位、人员进行一般性的数据权限配置；能根据业务功能和操作类型进行数据权限的控制；能否实现常见业务的处理，例如支持一人多岗单用户处理业务；支持轮岗制度下用户权限的移交；用户可以指定自己的代理人进行代理操作；批量授予用户同一角色；能实现权限分层管理以及权限继承等复杂的数据权限管理功能。2. 系统可以扩展，预留权限等接口，便于信息系统增加业务功能调用。图2-1 基于角色分级授权管理安全体系图示从部署的内外结构上要求能够依次对系统安全进行控制。能够限制登陆着的来源，可以识别登陆着的合法性，可以依据其赋予的权限进行业务操作，能够对业务操作进行监控、审计。2.2 概要设计本项目将根据gb/t 9387.21995（信息处理系统开放系统互连基本参考模型安全体系结构）、iso17799(信息技术信息安全管理业务规范)、rbac4（role based access control）、saml（security assertion markup language ）等国际国内标准的要求提供中央安全管理服务器： 中央安全管理服务器将面向业务系统提供加密、完整性、实体鉴别（sso，单点登录）、访问控制5等安全服务。其运行机制如下图所示：图2-2 运行机制图安全管理环境产品采用统一机制实现单点登录、身份认证、用户管理、权限管理、系统监控等安全控制，并提供包括pki/ca数字签名等多凭证的支持。在系统监控方面则提供对服务中间件、操作系统、数据库等监控对象的多视角监控和报表、web视图全方位的展现形式。企业安全层次模型如下所示：应用系统验证授权完整性审计系统/网络管理图2-3 企业安全层次模型图验证包括单向验证和双向验证。用户验证系统时，信息有可能被截取。解决方法：数字证书。支持基于传统关系数据库的认证、基于ldap的身份认证，支持单点登录（sso）。授权层验证证实了正确的用户登录到系统，承担着使用安全性策略调整指定的用户可以访问系统中的哪些资源，能实现统一权限管理。完整性是企业系统中保证数据不被没有修改权限的人修改。解决方法：数字签名、电子印章。审计可以捕获安全性相关事件记录的操作。目的：审计对预防和追究非法操作至关重要；审计可以发现系统中可能存在的问题；审计可以防止授权用户越级操作，具有防抵赖功能。图2-4 审计模式2.2.1 设计原则1. 分权制衡原则。安全管理采取分权制衡的原则，避免操作权利过分集中，否则一旦出现问题就将全线崩溃。2. 最小特权原则。对信息、信息系统的访问采用最小特权原则。任何实体（用户、管理员、进程、应用或系统）仅享有该主体需要完成其被指定任务所必须的特权，不应享有任何多余特权。3. 失效保护原则。系统运行错误或故障时必须拒绝非授权访问，阻断非授权人员进入内部系统，直至必要时以牺牲使用为代价确保安全。4. 职责分离原则。职责分离是降低意外或故意滥用系统风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会，对特定职责或责任领域的管理和执行功能实施分离。有条件的组织或机构，应执行专职专责。如职责分离比较困难，应附加其他的控制措施，如行为监视，审计跟踪和管理监督。5. 审计独立原则。审计独立，才能保证公正。6. 控制社会影响原则。非涉密信息的完整性、可用性对社会具有相当重大的影响，同样应针对其风险程度予以保护。2.2.2 主要功能主要包括登陆限制、身份验证、权限管理、系统审计等4部分：图2-5 安全管理体系结构图1. 登陆限制：为了保证用户帐号的安全，限制ip策略。只有ip没有限制的用户，通过正确的登录口令才可登陆。其中ip策略分为系统级ip策略和用户级ip策略，系统级ip策略是一个全局的ip策略，对所有的用户有效。用户级ip策略是作用在单个用户上的，是一个个性化的策略。对与不符合ip策略的请求，即使用户名密码正确系统也不允许该用户登录。采用登陆用户及密码匹配的方式，对通过ip策略放行的用户，进行登陆限制，用户不符或者密码不符者不能登陆。2. 身份验证：用户访问业务系统的类图及时序图：图2-6 用户访问业务系统的类图图2-7 用户访问业务系统的时序图登录入口模块：是用户访问系统的初始入口，用来控制对用户登录界面的转向。用户通过登录界面提交身份凭证。例：用户名和密码登录方式时，登录界面就是一个提示输入用户名和密码的表单界面；采用证书登录时，该登录界面就是一个能自动获取用户数字证书的页面，在浏览器上没有任何页面展现。身份认证模块：对用户提交的身份凭证进行验证，验证合法后，构建系统用户信息。权限控制模块：关联用户对应的系统权限，不同的用户在系统中有不同的访问权限。业务模块：进行实际的业务处理。3. 权限管理：角色就是组织结构环境中具有某些关联语义的职责功能，这些功能和用户的权限和职责有关，而用户是分配给角色的。在权限管理模型中，角色只与功能权限关联。角色之间可以继承，或者说角色分级，角色a继承了角色b，a就有了b的功能权限。角色之间可以建立静态约束，即如果角色a和b具有利益冲突而不能同时分配给同一个用户的话，可以通过定义不相容角色集来设置角色之间的互斥关系。角色隶属于法人，每个法人都有自己的单独角色集，为了减轻集团用户的安全管理负担，管理员可以通过定义角色模板，将模板中的角色应用到下属子公司，以实现角色的自动复制。角色对应的权限，分为功能资源权限和数据资源权限。功能资源管理又分为三级管理，第一级就是模块，第二级是功能，第三级是操作，即要分配给角色的操作。例如“工作流”是模块级，“工作流”模块中的“表单管理”是功能级，“表单管理”具体的增、删、改、查等属于操作级。除了功能资源，还定义数据资源，数据资源直接分配给用户，在“定义用户”的数据权限标签中进行管理。数据资源类型既包括组织结构组建中的组织类型，也可以动态的增加数据资源类型。4. 系统审计：系统审计包括三大部分：在线用户：该服务提供实时的在线用户监控功能，管理员可以随时监控系统的使用情况，并可在紧急情况下终止用户会话。 用户在线历史纪录：用户在线历史记录提供追踪用户历史使用系统记录的功能。管理员可根据认证记录追踪用户在登录系统过程中的所做的具体操作记录。安全日志：系统对于用户在使用系统期间的关键操作进行记录，管理员可以根据需要实时查看安全日志，监控系统资源的使用情况，以防范和化解系统安全风险。2.3 本章小结本章分析了作为应用支撑平台在安全管理体系方面的主要需求：实体鉴别、访问控制、防抵赖、加密、完整性，并给出了主要模块的概要设计。第 3 章 ip策略的设计与实现3.1 设计思路3.1.1 系统级ip策略1. 在perties中增加一个控制是否启用系统级ip策略的开关org.loushang.bsp.isuseippolicy。2. 增加一个配置文件web-infclasses sysipconfig.xml用来记录允许和禁止的ip地址。该配置文件的格式如下： 55 192.168.1.* 0 10 0 55 219.146.208.* 0 40 0 该配置文件的schema格式为：说明：名为allow的节点表示允许访问的全局ip数据，名为unallow节点表示禁止访问的全局ip数据。55表示从到55这个网段内的所有ip；219.146.208.*0表示以219.146.208开头的所有ip；400表示40这一个ip。可以看出，数据规则为：start表示起始点ip，end表示结束的ip，取的值为这一个范围内的ip数据，*表示可以匹配任何数值，如果想要取一个ip或使用通配符“*”end段需要填0.3. 修改org.loushang.bsp.permit.pep.ui.authenticationprocessingfilter类，当启用系统级ip策略时，判断客户端的ip是否是允许的ip。如果当前ip不允许访问系统，抛出异常“您所处的ip不允许访问本系统，请联系管理员。”3.1.2 用户级ip策略用户级ip是为用户设定允许或禁止登录的ip，把用户帐号和登录计算机的ip绑定起来。系统级ip策略的优先级大于用户级ip策略，用户登录时首先要满足系统级的ip策略，然后再判断是否满足用户级的ip策略。3.2 ip策略格式说明及判断规则可以使用通配符“*”用来表示所有数字，“*”只能用来通配ip地址的某段，如10.162.1.*；表示某段ip的范围用“-”隔开，如表示从到9这段范围，用“-9”；表示禁止某ip用“-”开头，如禁止从23到56这段ip，用“-23-56”；多项ip用“；”分开，如允许从到9的ip，10.162.1.*段的ip，ip的68，禁止192.168.12.*段的ip，填写方式为：-9; 10.162.1.*; 68;-192.168.12.*；如果当前ip在ip无记录、不符合通配符、不符合ip范围，那么这个ip被